1 引言

保密工作歷來(lái)是黨和國(guó)家的一項(xiàng)重要工作。在新的歷史時(shí)期，保密工作關(guān)系到深化改革、加快發(fā)展、維護(hù)穩(wěn)定和保障民生的工作大局，是保證我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展持續(xù)健康發(fā)展，實(shí)現(xiàn)中華民族偉大復(fù)興的重要一環(huán)。隨著企業(yè)信息化建設(shè)的不斷推進(jìn)，在為企業(yè)業(yè)務(wù)開(kāi)展和日常運(yùn)營(yíng)帶來(lái)便利的同時(shí)，也使保密管理的對(duì)象、領(lǐng)域、內(nèi)容、手段和環(huán)境等發(fā)生了很大變化：保密管理的范圍不斷擴(kuò)大，涉密載體呈現(xiàn)多樣性，涉密活動(dòng)日益頻繁，泄密渠道增多，竊密手段隱蔽性強(qiáng)。這些都對(duì)中央企業(yè)保密工作提出了新的更高的新要求。新形勢(shì)下，企業(yè)必須將傳統(tǒng)的保密工作與信息安全管理緊密結(jié)合，探索使兩者協(xié)同發(fā)揮彼此特長(zhǎng)和優(yōu)勢(shì)的有效途徑，互相支持、互為援護(hù)，共同構(gòu)筑企業(yè)保密與信息安全的“鋼鐵長(zhǎng)城”。

隨著電力企業(yè)信息化的不斷發(fā)展，保密與信息安全所面臨的各類風(fēng)險(xiǎn)也同時(shí)滲透到電力企業(yè)生產(chǎn)、經(jīng)營(yíng)的各個(gè)方面，信息安全問(wèn)題已成為影響電力安全生產(chǎn)的重大問(wèn)題之一。電網(wǎng)企業(yè)作為公用事業(yè)企業(yè)以及關(guān)系國(guó)民經(jīng)濟(jì)命脈和國(guó)計(jì)民生的能源企業(yè)，運(yùn)轉(zhuǎn)著世界上用戶規(guī)模巨大的信息系統(tǒng)，承擔(dān)的保密和信息安全責(zé)任十分重大，一旦出現(xiàn)泄密或安全事件，將嚴(yán)重影響到國(guó)家經(jīng)濟(jì)社會(huì)和能源安全。特別是，隨著電網(wǎng)企業(yè)創(chuàng)新步伐的加快，電網(wǎng)企業(yè)的商業(yè)秘密也不斷增多，各類非密敏感信息數(shù)量迅速增長(zhǎng)，如果對(duì)各類技術(shù)、經(jīng)營(yíng)信息等不予妥善保護(hù)，將嚴(yán)重影響到電網(wǎng)企業(yè)的核心競(jìng)爭(zhēng)力和核心利益。

2 電網(wǎng)企業(yè)保密與信息安全管理存在的問(wèn)題分析

目前，電網(wǎng)企業(yè)保密與信息安全工作存在如下主要問(wèn)題：

一是保密與信息安全工作的戰(zhàn)略地位有待加強(qiáng)。目前保密工作在電網(wǎng)企業(yè)戰(zhàn)略管理中的地位與實(shí)際安全需求匹配程度不夠，保密工作的戰(zhàn)略地位亟待加強(qiáng)。信息化是一把雙刃劍，其在為企業(yè)發(fā)展帶來(lái)便利和高效的同時(shí)，也使企業(yè)面臨著前所未有的高強(qiáng)度泄密風(fēng)險(xiǎn)。失泄密安全事件一旦發(fā)生，不僅會(huì)對(duì)國(guó)家和電網(wǎng)企業(yè)造成極大的惡劣影響和損失，而且其損害后果難以挽回和彌補(bǔ)，具有不可逆性。這就決定了電網(wǎng)企業(yè)應(yīng)當(dāng)將保密與信息安全工作上升到戰(zhàn)略決策的高度，在制定和實(shí)施電網(wǎng)企業(yè)各項(xiàng)發(fā)展戰(zhàn)略時(shí)必須將保密與信息安全工作同時(shí)納入考慮，針對(duì)涉密事項(xiàng)制定完善的管理制度和周密的應(yīng)對(duì)方案。

二是保密與信息安全的保護(hù)對(duì)象亟待擴(kuò)張。對(duì)電網(wǎng)企業(yè)而言，國(guó)家秘密和商業(yè)秘密在日常生產(chǎn)經(jīng)營(yíng)中所占比重很小，而在這兩類秘密之外，還有著另外一類數(shù)量和規(guī)模更為龐大、能反映電網(wǎng)企業(yè)生產(chǎn)經(jīng)營(yíng)狀況的關(guān)鍵信息。這類關(guān)鍵信息雖因各種原因無(wú)法被界定為國(guó)家秘密或商業(yè)秘密，但其對(duì)電網(wǎng)企業(yè)的生存發(fā)展同樣具有舉足輕重的重要作用。當(dāng)前，大數(shù)據(jù)等新型理念和方法的傳播，使得對(duì)數(shù)據(jù)的收集、匯總、分析變得越來(lái)越便利，而藉由數(shù)據(jù)的逆向推導(dǎo)，競(jìng)爭(zhēng)對(duì)手和意圖不良者極可能輕易了解和掌握電網(wǎng)企業(yè)運(yùn)營(yíng)的全部過(guò)程和細(xì)節(jié)，無(wú)異于使電網(wǎng)企業(yè)完全暴露在公共視野中，其后果是十分可怕的，必須采取積極措施進(jìn)行預(yù)防和應(yīng)對(duì)。

三是保密與信息安全對(duì)新技術(shù)領(lǐng)域的管控力度不足。信息化時(shí)代，以云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等為代表的一大批高新技術(shù)得到廣泛使用，給信息和數(shù)據(jù)的傳輸、存儲(chǔ)、使用、分析等各環(huán)節(jié)帶來(lái)了革命性變化。新技術(shù)的運(yùn)用固然為企業(yè)發(fā)展帶來(lái)便利和助益，但如果缺乏對(duì)新技術(shù)運(yùn)用的有效監(jiān)管，企業(yè)面臨的失密泄密風(fēng)險(xiǎn)將會(huì)以幾何級(jí)數(shù)增長(zhǎng)。

四是保密與信息安全與電網(wǎng)企業(yè)國(guó)際化戰(zhàn)略的整合不足。當(dāng)前，電網(wǎng)企業(yè)正積極實(shí)行國(guó)際化戰(zhàn)略，通過(guò)參與國(guó)際競(jìng)爭(zhēng)不斷提升電網(wǎng)企業(yè)的整體經(jīng)營(yíng)效益和國(guó)際影響力。就保密與信息安全工作而言，電網(wǎng)企業(yè)目前尚未針對(duì)海外業(yè)務(wù)形成常態(tài)化、規(guī)范性的管理制度體系，如不能很好地適應(yīng)海外業(yè)務(wù)保密工作的特殊需求，將使電網(wǎng)企業(yè)保密工作在整體上存在缺陷和漏洞。保密與信息安全形勢(shì)是十分嚴(yán)峻的。

五是保密與信息安全的各項(xiàng)制度體系有待進(jìn)一步完善。電網(wǎng)企業(yè)目前已經(jīng)頒行了一系列關(guān)于保密工作的規(guī)章制度，現(xiàn)有保密與信息安全管理制度，尤其是針對(duì)保護(hù)范圍的擴(kuò)張、海外保密與信息安全工作的開(kāi)展等重要問(wèn)題，尚缺乏相對(duì)應(yīng)的具體管理制度，電網(wǎng)企業(yè)系統(tǒng)內(nèi)也尚未形成完善的保密與信息安全管理制度、運(yùn)維體系和技術(shù)體系。這些都要求電網(wǎng)企業(yè)在下階段工作中不斷進(jìn)行深度研究和完善。

3 電網(wǎng)企業(yè)保密與信息安全工作的提升策略

電網(wǎng)企業(yè)保密與信息安全工作的完善在不同階段的工作重點(diǎn)各有所側(cè)重。從總體上看，保密工作重在建體系、布網(wǎng)絡(luò)、抓關(guān)鍵、常檢查、嚴(yán)考核。因此，為實(shí)現(xiàn)保密與信息安全管理的戰(zhàn)略目標(biāo)，構(gòu)建一體化管理體系，有必要做好如下幾方面重點(diǎn)工作。

一是提升電網(wǎng)企業(yè)保密與信息安全管理工作的戰(zhàn)略地位。在電網(wǎng)企業(yè)發(fā)展新階段，電網(wǎng)企業(yè)保密與信息安全工作也要邁上新臺(tái)階。在繼續(xù)發(fā)揮好保密工作對(duì)電網(wǎng)企業(yè)發(fā)展的“服務(wù)和保障”作用的同時(shí)，應(yīng)當(dāng)根據(jù)內(nèi)外部形勢(shì)發(fā)展，從全局高度重新審視保密與信息安全工作，將其作為電網(wǎng)企業(yè)戰(zhàn)略體系的重要組成部分。由此，實(shí)現(xiàn)與其他重大業(yè)務(wù)在戰(zhàn)略層面的融合對(duì)接，從而為各項(xiàng)具體工作的開(kāi)展、制度的落實(shí)奠定堅(jiān)實(shí)基礎(chǔ)。

二是構(gòu)建保密與信息安全一體化管理體系。借鑒資產(chǎn)全壽命周期理論和信息安全管理體系（ISMS），從主動(dòng)預(yù)防、閉環(huán)管理、保密與信息安全緊密結(jié)合的基本原則出發(fā)，電網(wǎng)企業(yè)應(yīng)當(dāng)構(gòu)建“橫向到底、縱向到邊”的一體化管理體系，形成安全網(wǎng)絡(luò)，將電網(wǎng)企業(yè)核心資源、核心業(yè)務(wù)以及日常運(yùn)營(yíng)的全過(guò)程均納入該體系的管控中。以現(xiàn)有組織體系和制度體系為基礎(chǔ)和依托，建立起包括安全管理制度、安全運(yùn)維、安全技術(shù)三大模塊在內(nèi)的電網(wǎng)企業(yè)保密與信息安全管理框架，落實(shí)“人防、物防、技防”的基本要求。對(duì)電網(wǎng)企業(yè)現(xiàn)有保密與信息安全管理機(jī)制進(jìn)行梳理整合，做到分工合理、責(zé)任清晰、周延無(wú)縫。加強(qiáng)考核監(jiān)督，定期或不定期開(kāi)展保密與信息安全檢查，及時(shí)發(fā)現(xiàn)問(wèn)題、查找漏洞、彌補(bǔ)缺陷，同時(shí)進(jìn)一步完善考核激勵(lì)機(jī)制，更為注重通過(guò)獎(jiǎng)懲結(jié)合的方式實(shí)現(xiàn)對(duì)人員行為的規(guī)范。探索將保密管理與單位和人員的績(jī)效考核相掛鉤的合理途徑。

三是拓展保密與信息安全保護(hù)對(duì)象范圍。要強(qiáng)化對(duì)關(guān)鍵和重要數(shù)據(jù)的全生命周期監(jiān)管，從其產(chǎn)生伊始就采用技術(shù)手段進(jìn)行跟蹤保護(hù)，制定相應(yīng)制度規(guī)范數(shù)據(jù)的獲取、分析、存儲(chǔ)等行為，嚴(yán)格保證對(duì)數(shù)據(jù)的接觸和使用在適當(dāng)范圍內(nèi)進(jìn)行。要有效防范不當(dāng)泄露電網(wǎng)企業(yè)重要數(shù)據(jù)的行為，除傳統(tǒng)的涉密崗位和涉密人員外，凡因正當(dāng)工作原因獲得電網(wǎng)企業(yè)關(guān)鍵或重要信息的人員，均因此而負(fù)有保密義務(wù)，必須遵守相應(yīng)制度和守則，嚴(yán)禁泄密。

四是加強(qiáng)對(duì)新技術(shù)領(lǐng)域的保密與信息安全管理。云計(jì)算、云存儲(chǔ)、物聯(lián)網(wǎng)等各類新型信息技術(shù)的使用是大勢(shì)所趨，在享受其帶來(lái)的便利的同時(shí)，更要針對(duì)其特點(diǎn)加強(qiáng)保密與信息安全管理。電網(wǎng)企業(yè)在采購(gòu)新技術(shù)服務(wù)時(shí)必須嚴(yán)格審查供應(yīng)商背景及其提供的保密與信息安全方案，審慎選擇外包服務(wù)商，明確服務(wù)等級(jí)責(zé)任(SLA)，簽訂數(shù)據(jù)保密協(xié)議，不盲目信賴供應(yīng)商，確保新技術(shù)服務(wù)風(fēng)險(xiǎn)可控[3]。在使用新技術(shù)服務(wù)時(shí)要加強(qiáng)監(jiān)管，既要確保使用者的使用行為符合規(guī)范，也要確保技術(shù)服務(wù)本身的運(yùn)行不會(huì)產(chǎn)生失密、泄密等情況。嚴(yán)格規(guī)范對(duì)云技術(shù)服務(wù)的使用，凡涉及國(guó)家秘密、商業(yè)秘密以及電網(wǎng)企業(yè)關(guān)鍵或重要數(shù)據(jù)等，一律禁止在系統(tǒng)外部云端進(jìn)行存儲(chǔ)或處理。四是，積極開(kāi)發(fā)電網(wǎng)企業(yè)自主的云端技術(shù)產(chǎn)品，尤其是私有云的建設(shè)，以更好地滿足電網(wǎng)企業(yè)運(yùn)營(yíng)需求、提升服務(wù)安全性。

五是強(qiáng)化國(guó)際及金融業(yè)務(wù)領(lǐng)域的保密與信息安全工作。要制定電網(wǎng)企業(yè)層面海外業(yè)務(wù)保密與信息安全的基本管理規(guī)定，就該項(xiàng)工作面臨的共性問(wèn)題進(jìn)行統(tǒng)一規(guī)范。應(yīng)根據(jù)不同海外業(yè)務(wù)類別制定相應(yīng)的具體管理規(guī)定，明確各項(xiàng)業(yè)務(wù)開(kāi)展前和開(kāi)展過(guò)程中就保密與信息安全所應(yīng)采取的措施和方案。而在開(kāi)展具體業(yè)務(wù)時(shí)，則應(yīng)當(dāng)嚴(yán)格按照有關(guān)規(guī)定評(píng)估海外業(yè)務(wù)保密與信息安全風(fēng)險(xiǎn)，制定相應(yīng)的海外安全管理制度和事故應(yīng)對(duì)方案，并對(duì)各項(xiàng)安全制度的執(zhí)行情況進(jìn)行定期檢查和嚴(yán)格監(jiān)督。重點(diǎn)要對(duì)駐外機(jī)構(gòu)、人員及業(yè)務(wù)流程進(jìn)行嚴(yán)格監(jiān)管，對(duì)機(jī)構(gòu)選址、建設(shè)、維護(hù)，人員選派、聘用，業(yè)務(wù)交流、合作等各環(huán)節(jié)，都要制定細(xì)致、嚴(yán)格、系統(tǒng)的管理制度和行為守則，輔之以必要的技術(shù)手段，同時(shí)定期或不定期開(kāi)展海外業(yè)務(wù)保密安全檢查，及時(shí)發(fā)現(xiàn)問(wèn)題、查找漏洞、彌補(bǔ)缺陷，時(shí)時(shí)繃緊反泄密、竊密這根弦。

4 主要結(jié)論

在保密與信息安全結(jié)合日趨緊密的大趨勢(shì)下，必須充分發(fā)揮兩項(xiàng)傳統(tǒng)工作各自優(yōu)勢(shì)，互為支撐、互相協(xié)調(diào)，探索保密與信息安全管理的新途徑。電網(wǎng)企業(yè)保密與信息安全管理工作應(yīng)當(dāng)與企業(yè)整體發(fā)展戰(zhàn)略和管理體系相協(xié)調(diào)。為使其在業(yè)務(wù)體系中更好地發(fā)揮作用，電網(wǎng)企業(yè)應(yīng)當(dāng)積極探索保密與信息安全一體化管理模式，將兩項(xiàng)職能進(jìn)行充分整合，以強(qiáng)化工作力度、提升工作效率。